HTTPS

HTTPS（HyperText Transfer Protocol Secure）：超文本传输安全协议

常称为HTTP over TLS、HTTP over SSL、HTTP Secure

由网景公司于1994年首次提出

HTTPS的默认端口号是443（HTTP是80）

现在在浏览器上输入 http://www.baidu.com

会自动重定向到 https://www.baidu.com

并不是浏览器它自动帮你变成https的，是先发送了一次请求给服务器，服务器再告诉浏览器重定向到https

直接输入baidu.com,直接是https了

SSL/TLS 

HTTPS是在HTTP的基础上使用SSL/TLS来加密报文，对窃听和中间人攻击提供合理的防护 

SSL/TLS也可以用在其它协议上，比如

• FTP--->FTPS
• SMTP--->SMTPS

TLS（Transport Layer Security），传输层安全协议

前生是SSL（Secure Sockets Layer）,安全套接层

历史版本信息

• SSL 1.0：因存在严重的安全漏洞，从未公开过
• SSL 2.0： 1995年，已于2011年弃用（RFC 6176）
• SSL 3.0： 1996年，已于2015年弃用（RFC 7568）
• TLS 1.0： 1999年（RFC 2246）
• TLS 1.1： 2006年（RFC 4346）
• TLS 1.2： 2008年（RFC 5246）
• TLS 1.3： 2018年（RFC 8446）

（ 有没有发现： TLS的RFC文档编号都是以46结尾）

SSL/TLS - 工作在哪一层 

• 应用层和传输层之间 

OpenSSL

OpenSSL是SSL/TLS协议的开源实现，始于1998年，支持Windows、 Mac、 Linux等平台

• Linux、 Mac一般自带OpenSSL
• Windows下载安装OpenSSL： https://slproweb.com/products/Win32OpenSSL.html

常用命令

• 生成私钥： openssl genrsa -out mj.key
• 生成公钥： openssl rsa -in mj.key -pubout -out mj.pem

 

可以使用OpenSSL构建一套属于自己的CA，自己给自己颁发证书，称为“自签名证书”
 

HTTPS的成本

• 证书的费用
• 加解密计算
• 降低了访问速度
• 有些企业的做法是：包含敏感数据的请求才使用HTTPS，其它保持使用HTTP

比如：

• http://www.icbc.com.cn/
• https://mybank.icbc.com.cn/
   

HTTPS的通信过程

总的可以分为3大阶段

• TCP3次握手
• TLS的连接
• HTTP请求和响应

TLS 1.2的连接 

• 大概是有10大步骤
• 图片中省略了中间产生的一些ACK确认 

（这么多步骤是需要协商：TLS版本、加密套件、其他信息）

TLS 1.2的连接 - ① 

①Client Hello

• TLS的版本号
• 支持的加密组件（Cipher Suite）列表（加密组件是指所使用的加密算法及密钥长度等）
• 一个随机数（Client Random）

TLS 1.2的连接 - ②

② Server Hello

• TLS的版本号
• 选择的加密组件（是从接收到的客户端加密组件列表中挑选来的）
• 一个随机数

TLS 1.2的连接 - ③

③Certificate

• 服务器的公钥证书（被CA签名过的）

TLS 1.2的连接 - ④

④Server Key Exchange

用以实现ECDHE算法的其中一个参数（Server Params）

• ECDHE是一种密钥交换算法，为了防止伪造，Server Params经过了服务器私钥签名

TLS 1.2的连接 - ⑤

⑤Server Hello Done

• 告知客户端：协商部分结束

• 目前为止，客户端和服务器之间通过文明共享了（前5步是明文共享）Client Random、Server Random、Server Params
• 而且，客户端也已经拿到了服务器的公钥证书，接下来，客户端会去验证证书的真实有效性

TLS 1.2的连接 - ⑥

⑥ Client Key Exchange

• 用以实现ECDHE算法的另一个参数（Client Params）

◼ 目前为止，客户端和服务器都拥有了ECDHE算法的2个参数：Server Params 、Client Params

◼ 客户端、服务器都可以

• 使用ECDHE算法（密钥交换算法）
• 根据Server Params 、Client Params计算出一个新的随机密码串：Pre-master secret，然后结合Client Random、Server Random、Pre-master secret生成一个主密钥
• 最后利用主密钥衍生出其它密钥：客户端发送用的会话密钥、服务器发送用的会话密钥等。

TLS 1.2的连接 - ⑦

⑦ Change Cipher Spec

• 告知服务器：之后的通信会采用计算出来的会话密钥进行加密

TLS 1.2的连接 - ⑧

⑧ Finished

• 包含连接至今全部报文的整体校验值（摘要），加密（会话密钥加密）之后发送给服务器（也就是发了一串加密的内容给服务器，看服务器是否能解密成功）
• 这次握手是否成功，要以服务器是否能够正确解密该报文作为判定标准

TLS 1.2的连接 - ⑨、⑩

⑨ Change Cipher Spec

⑩ Finished

• 到此为止，客户端服务器都验证加密解密没问题（第10步服务器也发送了一段密文过去，看客户端能否解密成功），握手正式结束
• 后面开始传输加密的HTTP请求和响应

（7、8和9、10是对称的）

注意：

最终传递的内容：

Wireshark解密HTTPS

• 设置环境变量SSLKEYLOGFILE（浏览器会将key信息导出到这个文件）

• 设置完成后，最好重启一下操作系统
• 在Wireshark中选择这个文件

        编辑 → 首选项 → Protocols → TLS

• 如果环境变量不管用，可以直接设置浏览器的启动参数（下图是使用了Rolan进行启动）

 

配置服务器HTTPS - 生成证书

环境： Tomcat9.0.34、 JDK1.8.0_251

首先，使用JDK自带的keytool生成证书（一个生成免费证书的网站：https://freessl.org/）

• keytool -genkeypair -alias mj -keyalg RSA -keystore F:/mj.jks

配置服务器HTTPS - 配置Tomcat

• 将证书*.jks文件放到TOMCAT_HOME/conf目录下

 

• 修改TOMCAT_HOME/conf/server.xml中的Connector